---
title: anomaly-detect (폐기 2026-04-25)
updated: 2026-04-25
tags: [security, crowdsec, deprecated]
status: deprecated
---

> [!warning] 폐기됨 (2026-04-25)
> Grok-4-fast agentic 분석기가 더미 IP(1.1.1.1, 1.2.3.4 시퀀스), Cloudflare 엣지 IP(172.70.x), 자체 Linode IDC 대역(45.79.x)을 path-enumeration으로 오탐 ban하는 사례 다수 확인.
> 컨테이너 포함 완전 제거. 폐기 경과 및 재가동 조건: [[../../history/2026-04-25-anomaly-detect-removal|history]]

## 보존된 자산

| 항목 | 위치 | 비고 |
|---|---|---|
| 코드 | `gitea.inouter.com/kaffa/anomaly-detect` (private) | 재구축 reference |
| Vault | `secret/ai/openrouter` (OpenRouter API key) | 다른 서비스 공용 가능성 — 보존 |
| 설계 이력 | [[../../history/2026-04-08-anomaly-detect-iterations]] | 1차 stats → 2차 cohort → 3차 agentic 반복 |

## 제거된 자산

- incus-hp2 `anomaly-detect` 컨테이너 (10.100.2.164)
- systemd `anomaly-detect.timer` / `anomaly-detect.service`
- CrowdSec LAPI watcher 등록
- 활성 decision 2건 (`45.94.31.74`, `45.76.123.45`)

## CrowdSec 시나리오 잔재

`anomaly-detect/path-enumeration`, `anomaly-detect/brute-force` 시나리오 이름은 본인이 발급한 alert에만 등장. CrowdSec Hub 표준 시나리오가 아니라 LAPI 측에서 별도 정리 불필요.